当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07878

漏洞标题:西部数码可访问任意域名证书 西部数码可访问任意域名证书(不安全的对象引用)

相关厂商:西部数码

漏洞作者: Passer_by

提交时间:2012-06-05 11:22

修复时间:2012-06-10 11:22

公开时间:2012-06-10 11:22

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-05: 细节已通知厂商并且等待厂商处理中
2012-06-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

修改id,可以访问任意的域名证书,域名注册人、域名、申请时间、过期时间等

详细说明:

随便注册个账户登陆后,修改domainid访问
http://www.west263.com/manager/domain/cer.asp?domainid=346355
http://www.west263.com/manager/domain/cer.asp?domainid=346320
如果id不存在的话,会有错误信息- -,没有容错页面
虽然泄露的东西不太重要,不过也算个不安全的对象引用吧。。

漏洞证明:

修复方案:

对帐户权限做限制

版权声明:转载请注明来源 Passer_by@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-06-10 11:22

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2012-06-05 11:30 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    WooYun: 万网某处用户身份证信息企业信息泄露 通过这个帖子,可以发现互联网上N多的公司有这样的问题,因为国内备案的出现,导致很多信息泄露!

  2. 2012-06-05 22:59 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @momo 对。。你那个洞信息太敏感了- -

  3. 2012-06-10 15:23 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @momo @Passer_by 此漏洞,真心觉得不算漏洞。通过whois就可以查询到相关的信息,貌似本身就是公开的,相关信息我对比了一下,貌似whois提供了更多的信息,一般都是公司注册域名。公司电话,公司地址,公司法人什么的不能算秘密了吧。http://tool.114la.com/whois/csdoo.net

  4. 2012-06-11 09:44 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @tpu01yzx whosi是可以查询到更多的信息,但是关于漏洞类型本身的思考,是个不安全对象引用,跟momo那个类似。但因为泄露的信息不多,所以自评低风险